探討云平臺背景下的網絡安全等級保護測評策略

◆王洪磊 孫靜

探討云平臺背景下的網絡安全等級保護測評策略

◆王洪磊 孫靜

（山東省淄博市博山區第一中學 山東 255200）

云平臺在我國銀行、教育等行業廣泛應用，利用云平臺工作人員能及時處理數據、整合資源，為該行業戰略部署提供決策信息。但云平臺中會納入海量信息，信息管理難度較大，甚至滲入一些病毒信息，對企業而言，可能會對企業的資源進行盜取，對教育行業則會造成信息泄露，不利于家校共育的環境創建。在網絡安全等級保護背景下，應當對網絡安全情況進行分析，并完善云計算平臺。對此，本文對網絡安全保護標準進行探究，思考云平臺網絡安全管理現狀及面對的風險，拓展云平臺學習的時間和空間，提出云平臺下的網絡安全等級保護測評建議，為云平臺數據保護奠定堅實的基礎。關鍵詞：云平臺；網絡安全；等級保護測評

伴隨互聯網技術高速發展，云平臺及云計算、大數據進入人們視野，云平臺有利于實現信息共享，讓人們合理利用資源，降低企業生產及管理成本。但在云平臺背景下，人們通過網絡保管信息也容易面對一些風險問題，主要是信息盜取風險及網絡病毒風險等，此類風險容易對個人隱私及行業機密信息等產生影響，甚至對行業發展產生嚴重打擊。我國在實施網絡安全等級保護2.0相關標準后，信息安全等級保護進入全新階段，但網絡安全保護工作依舊面對巨大挑戰，還需認識目前存在的風險，在系統部署過程中關注網絡安全，從而對云平臺及相關產品提出對應的管理要求。

1 網絡安全保護的全新標準

等級保護2.0標準下對等級保護測評及安全管理技術等具有全新的標準，對大數據及云計算、移動網絡等具有安全管理目標，并提出全新的管理模式，為網絡安全提供全新的保障。具體的管理標準變化自以下幾個方面體現。①保護標準變化：在云平臺網絡環境中，等級保護設計標準及檢測標準均發生變化，面對云計算平臺保護的對象，提出個性保護及標準管理要求。②定級對象變化：網絡安全等級保護中針對特定的系統進行重新定級，一個云平臺中具有較多的系統，根據系統內容確定保護等級，云平臺等級應當高于系統標準承載保護等級。大型云平臺及基礎設施能分為不同輔助系統，其中也包括不同的定級對象。③責任界限變化：網絡安全等級保護是信息及數據管理的前提，對界限進行劃分較為必要，責任邊界劃分包括用戶安全及平臺安全內容，在劃分責任過程中以普適性標準為主，實際工作過程中，需根據實際情況，確定具體的責任。④等保對象變化：伴隨新技術的引入，等保對象包括增設虛擬機及虛擬化網絡及云管理平臺，在網絡安全管理過程中關注新技術及平臺基礎安全等內容。

2 云平臺網絡安全管理現狀

近幾年，我國大型企事業網絡系統建設進入全新的局面，云平臺作為數據管理系統中的重要組成部分，服務器維護量在不斷增加，固有的平臺管理模式無法契合時代發展需求，服務器整合工作也較為緊迫。比如，我國銀行企業每日吸納大量的客戶信息，整體客戶端數量巨大，桌面布置也較為復雜，為達到數據合理整合目標，我國銀行企業開始積極應用虛擬技術，通過云端服務器及IT硬件設備完成池化管理，對基礎設施進行統一管理，及時將閑置資源回收，提升資源的利用率及整合率，并構建起數據中心云計算平臺。在云平臺發展過程中，面對安全性要求，企事業自數據中心的主機及儲存各個層面進行綜合分析，并展開安全保障設計。比如，在儲存層安全設計過程中，通過卷鏡像技術達到儲存虛擬化目標，一旦發生故障，備用網絡設備可完成業務訪問，以免業務再進行中斷。在主機層安全設計過程中，選擇Vsphere HA方案處理，避免ESXi服務器發生故障，對業務連續性產生影響。在管理層安全管理過程中，選擇HA方案對網絡數據情況進行觀察，確定服務器的持續運行能力，vCenter在網絡保護過程中，對管理員權限進行限制，對系統中的用戶進行分組，合理對用戶進行管理。

3 云平臺網絡安全管理面對的風險

等保2.0背景下，網絡安全標準發生變化，在評測過程中關注的重點在于數據完整性及私密性，對數據進行集中管理及信息保護，但實際網絡數據保護過程中也面對巨大的挑戰。

3.1 網絡系統面對的風險

在云平臺背景下，應用層及硬件層構建虛擬網絡層級，虛擬層在運行過程中也面對全新的風險。常見的網絡風險是虛擬機監控風險及網絡調整風險、虛擬機補丁未及時更新風險、殺毒軟件能力不強風險等，未采取有效的管理措施容易引發不同層級的網絡風險。對此，云平臺在應用過程中用戶信息安全防護也面對不同的風險。虛擬網絡技術使物理資源調整為邏輯資源，將實體結構壁壘打破，讓用戶能更加合理地利用資源及服務器。物理服務器資源過度利用的情況下，硬件設備的荷載能力降低，運行質量也在不斷降低，發生硬件故障系統崩潰的問題。部分物理服務器發生嚴重硬件故障時，虛擬機將無法順利運行，相關應用也停止，這種系統停止運行風險，相比過往的服務器運行風險更為嚴重。

3.2 數據風險及病毒風險

云平臺對數據完整性保護較為關注，這也是等級保護2.0中的重點內容，包括動態及靜態數據隔離及殘余數據處理，需保證傳輸及儲存工作中消除不安全因素，保證資源的保密性及完整性。對保護過程進行管理，以防火墻技術作為支持，云計算數據在不同的空間分散，難以保證用戶及時調取數據，或者調取數據過程中不被盜取數據。數據保密機制不完善及權限管理系統不完善，云平臺數據被盜取的風險將大幅提升。云數據平臺在管理過程中，虛擬機穩定性較為重要，模板中存在系統漏洞，容易發生病毒植入風險，對系統可用性產生破壞的同時，也會發生系統混亂，病毒對數據進行大肆侵犯。虛擬機數據管理過程中，一旦IP地址具有連續性特點，也會為病毒傳播提供全新的渠道。

4 云平臺下的網絡安全等級保護測評建議

網絡安全等級保護需關注技術標準，根據技術現狀及需求，保證云平臺安全性及自主性，保留信息維護安全及網絡管理安全，對網絡空間合理利用。

4.1 評估系統狀態，合理部署系統

云平臺部署工作前針對虛擬技術進行評估及分析，從而進一步降低部署風險，保證遠期利益。比如，先展開業務評估，使云平臺建設目標及發展目標保持一致，對應用環境進行評估，對目前的軟件及網絡環境進行思考，觀察是否具備網絡部署條件。對技術水平進行評估，關注人員技術能力及業務能力，處理部署過程中面對的各類問題。在云平臺部署過程中，也要關注風險管理，在管理工作進展中，遵循標準化的系統管理規范，使虛擬服務器及安全防護工作保持一致，不定期對主機及服務器日志等進行監測。在權限管理過程中，還需遵循最低權限基本原則，管理人員保證權限及工作職責匹配，避免使用公共賬號，在監督工作進展中，通過虛擬網絡工具對異常現象進行監督及檢索，虛擬機完全監控下管理，避免病毒等對網絡進行侵蝕。

4.2 關注數據保護，保持數據安全

在云平臺網絡管理過程中，還需關注數據保護的安全性，比如，在網絡數據儲存管理過程中，應當對加密的數據進行有效管理。開放性數據與加密性數據不同，開放性數據共享性特點，在保護過程中對私密性的關注度不高，而私密性數據往往是個人或者企事業管理的重點數據，在云平臺下應當注重合理管控。比如，選擇信用度優良的運營商，保證運營商對運行安全負責，并選擇技術能力強的隊伍，對云平臺進行合理部署，降低信息泄露風險的發生率，以免用戶信息隨意泄露。在云平臺打造過程中，應當選擇保密性強的主流加密技術，包括truecrypt、pgp等，保證數據安全管理風險。選擇VONTU等過濾器對數據進行攔阻，及時控制敏感性數據，以免發生病毒傳播及數據泄露風險。

4.3 注重系統建設，應用安全技術

安全技術采取安全控制手段完成數據信息保護，包括虛擬機蔓延及隔離虛擬機安全防護等內容。在技術保護過程中還需對虛擬機進行有效審核，對虛擬機的工作動向進行監督，以免發生虛擬機失去控制。為保證云平臺數據信息的安全性，對虛擬機展開邏輯隔離，測試及管理過程中，需對虛擬網絡進行隔離處理。在常規安全防護過程中，遵守我國的系統管理規范，以免病毒對網絡軟件產生侵蝕，及時安裝系統補丁，使系統的安全性進一步提升。針對硬件設備也要進行管理，比如，U盤及光驅，此類設備可能攜帶病毒，對此，在云平臺管理過程中，需利用病毒軟件對此類設備進行掃描，阻斷病毒植入渠道，或者在U盤等傳輸數據時不使用虛擬機。

5 結束語

現階段，信息技術高速發展，云平臺及大數據技術在人們的生活中廣泛應用，利用云平臺儲存及管理數據具有高效性的特點，企事業及個人能及時調取數據，并對新的數據進行整合及管理，相比過往硬件儲存方式更為便捷。但云平臺下的網絡安全問題引起人們的廣泛關注，網絡安全管理目標不斷提升，企事業及個人也要積極面對挑戰，選擇高質量的技術運營商，防范網絡風險，及時監督虛擬機運行情況，為安全穩定完成數據處理工作奠定堅實的基礎。

[1]黃少琪. 網絡安全等級保護2.0下電信運營商助力中小企業安全建設[J]. 網絡安全技術與應用，2021（03）：93-94.

[2]趙英明，張德棟，陳勛，李聚寶. 基于等級保護2.0的鐵路客票系統安全管理中心研究[J]. 鐵路計算機應用，2020，29（08）：24-27.

[3]李新發，楊立凡. 網絡安全等級保護制度實施效果研究——以湖北省宜昌市為視角[J]. 三峽論壇（三峽文學·理論版），2020（04）：100-104.

[4]郭樂. 網絡安全等級保護2.0體系下的法院網絡安全管理及應對[J]. 網絡安全技術與應用，2020（05）：136-137.

[5]劉赫. 基于網絡安全等級保護2.0的安全區域邊界[J]. 電子技術與軟件工程，2020（01）：236-238.

[6]張振峰，張志文，王睿超. 網絡安全等級保護2.0云計算安全合規能力模型[J]. 信息網絡安全，2019（11）：1-7.

[7]李秋香，龔鋼軍，陳翠云. 網絡安全等級保護2.0下能源網絡安全新態勢[A]. 公安部第三研究所、江蘇省公安廳、無錫市公安局.2019中國網絡安全等級保護和關鍵信息基礎設施保護大會論文集[C].公安部第三研究所、江蘇省公安廳、無錫市公安局：《信息網絡安全》北京編輯部，2019：4.

本文系淄博市教育科學“十三五”規劃課題《基于云平臺的初中信息技術課堂教學模式探究》階段性成果，課題批準號：2018ZJG041